W związku z zapowiedzią Aero2 dotyczącą zastosowania kodów CAPTCHA (nazywanych slangowo przeze mnie kapciem) w usłudze bezpłatnego dostępu do Internetu pojawiło się wiele pytań. Postanowiłem wybrać kilka najważniejszych kwestii i wyjaśnić niektóre wątpliwości.

Należy jednak pamiętać, że poniższe wyjaśnienia opierają się na dostępnych zapowiedziach operatora, doświadczeniu związanym z działaniem podobnych rozwiązań oraz innych dostępnych źródłach informacji. Dopóki operator nie uruchomi tego utrudnienia nie będziemy mieli pewności co do sposobu jego zaimplementowania, ani faktycznego działania.

Zapraszam do lektury.

Co to jest CAPTCHA?

CAPTCHA to skrót od angielskiej nazwy techniki rozpoznawania, czy po drugiej stronie łącza siedzi człowiek, czy maszyna. Polecam szczegółowy artykuł na Wikipedii. Najczęściej stosuje się w tym celu rozwiązanie zagadki obrazkowej, dźwiękowej lub logicznej przez użytkownika. W Internecie od kilku lat zwykle spotykamy się z zarządzanym przez firmę Google narzędziem o nazwie reCAPTCHA, który znaleźć można także przy rejestracji na forum.jdtech.pl:

Przykład kodu reCAPTCHA

Zadaniem użytkownika jest przepisanie widocznych dwóch słów. Zadanie to jest (a przynajmniej powinno być) względnie proste dla człowieka, a przy tym bardzo trudne dla komputerów – reCAPTCHA sprawdza się tutaj całkiem nieźle. Warto wiedzieć, że przy okazji pomagamy firmie Google w… skanowaniu książek, gdyż jeden z rozpoznawanych wyrazów zwykle jest słowem, z którym nie poradziły sobie narzędzia do rozpoznawania pisma. Więcej informacji o reCAPTCHA w Wikipedii.

Po co stosuje się tego typu zabezpieczenia? Przede wszystkim celem jest uniemożliwienie korzystania z wybranych usług przez automaty. Typowym problemem wielu formularzy internetowych, systemów komentarzy i forów jest… spam. Najczęściej jest on wrzucany przez automatyczne skrypty, które w krótkim czasie potrafią niesamowicie zaśmiecić nawet większe fora i blogi. Założenie kapcia na stronę (instalacja skryptu korzystającego z CAPTCHA) powoduje, że tego typu automatyczne operacje stają się niemożliwe lub bardzo trudne do przeprowadzenia. Czasem tego typu rozwiązania mają utrudnić korzystanie usługi w celu zachęcenia użytkownika do zapłacenia za możliwość łatwiejszego dostępu – często spotykamy się z tym przy pobieraniu plików ze specjalnych stron przechowujących pliki.

Od razu odpowiadam na ewentualne pytania: zaprezentowany powyżej reCAPTCHA jest bardzo trudny do złamania i firma Google cały czas dba o to, żeby nie było to zbyt łatwe. Gdy tylko pojawiają się rozwiązania umożliwiające automatyzację rozpoznawania kodów, firma aktualizuje system, stąd obserwowane od czasu do czasu zmiany w wyglądzie obrazków i brzmieniu dźwięków.

Dlaczego Aero2 chce zastosować CAPTCHA?

Podstawowym celem jest oczywiście zmniejszenie atrakcyjności usługi bezpłatnego dostępu do Internetu. Jednak oficjalnie na to powołać się operatorowi nie wolno, dlatego pojawia się sugestia, że chodzi o użytkowników, którzy nadużywają BDI poprzez pobieranie olbrzymich ilości danych – faktycznie jest to możliwe, jednak to oczywiste, że nie taki był cel utworzenia tego rozwiązania przez Urząd Komunikacji Elektronicznej. Mimo, że grupa użytkowników korzystających w ten sposób z BDI jest niewielka, to jednak właśnie oni generują większość ruchu związanego z usługą bezpłatną.

Biorąc do tego pod uwagę fakt, że BDI odciąga użytkowników od płatnych usług operatorów z grupy (Plusa i Cyfrowego Polsatu) jak i innych operatorów widzimy, że każde ograniczenie zainteresowania BDI jest dla tych przedsiębiorców korzystne. Cała sztuka (z punktu widzenia operatora) w tym, żeby zrobić to legalnie w ramach obowiązujących firmę przepisów.

Czy koncesja pozwala Aero2 wprowadzić CAPTCHA?

Sprawa jest dyskusyjna. Z pewnością operator dokonał analizy prawnej i stwierdził, że groźba narażenia się Urzędowi Komunikacji Elektronicznej jest wystarczająco mała.

Jak wiemy w koncesji jest jasno zapisane, że połączenie jest zrywane co godzinę. Oczywiście nie ma żadnego problemu z niezwłocznym jego wznowieniem i kontynuowaniem pracy (z dokładnością do zerwanych połączeń i pojawienia się w sieci pod innym adresem IP). Dlatego też możemy przypuszczać, że wprowadzenie kapcia będzie wymagane co 60 minut, najprawdopodobniej po prostu w momencie nawiązania połączenia z siecią. Prawdopodobnie żadne inne rozwiązanie nie wchodzi w rachubę z punktu widzenia logiki działania podobnych zabezpieczeń i… zapisów koncesyjnych. W tej kwestii fragment treści decyzji rezerwacyjnej jest dość jasny:

Punkt 4.c.a) a) czas jednorazowej sesji w ramach dostępu nieodpłatnego nie będzie dłuższy niż 60 minut

Musimy jednak zwrócić uwagę, że treść tego zapisu w żaden sposób nie określa sposobu wdrożenia tego ograniczenia.

Reszta treści rezerwacji częstotliwości nie daje żadnych istotnych wskazówek co do blokady typu kapeć. Nie ma możliwości ograniczenia ilości przesyłanych danych, wybiórczego obniżania transferu, czy przedłużania momentu ponownego nawiązania połączenia z siecią.

Pojawia się jednak wątpliwość związana z zapisem:

4.c.c)   jakiekolwiek ograniczenia treści lub protokołów dostępnych dla użytkownika korzystającego z dostępu nieodpłatnego nie będą dalej idące niż takie same ograniczenia stosowane dla użytkownika korzystającego z usług odpłatnych

Być może tutaj można próbować doszukiwać się ograniczeń możliwości wprowadzania kodów CAPTCHA, jednak moja wiedza prawnicza jest zbyt ogólna w tej kwestii. Np. można próbować się zastanawiać, że jeżeli w usłudze komercyjnej nie ma kodów CAPTCHA, to czy na pewno mogą być w jej wersji bezpłatnej.

Tak czy inaczej warto będzie zapytać UKE, co sądzi na temat proponowanych zmian w BDI.

Czy Aero2 faktycznie planuje wprowadzenie kodów CAPTCHA?

Niestety wszystko wskazuje na to, że tak. O ile pierwsze informacje z Telepolis wydawały się dość ogólnikowe i niepewne, o tyle w kolejnych dniach konto rzecznika prasowego Aero2 zaczęło odsyłać wszystkim zainteresowanym mediom zunifikowaną odpowiedź (wszystkim praktycznie taką samą):

Bezpłatny Dostęp do Internetu („BDI”), ze względu na brak komercyjnego charakteru, nie znajduje na polskim rynku odpowiednika, w szerokiej gamie usług świadczonych przez innych operatorów. BDI jest dostępem stymulującym rozwój społeczeństwa informacyjnego, można powiedzieć rozwiązaniem o charakterze socjalnym. Z tytuł udostępniania BDI, Aero2 nie pobiera opłat abonamentowych, a BDI nie jest też usługą w świetle prawa telekomunikacyjnego.
W najbliższym czasie Aero2 planuje wdrożyć kod captcha, który będzie pomagał w skutecznym i efektywnym wywiązywaniu się z warunków wpisanych do Decyzji Rezerwacji Częstotliwości i Regulaminu Bezpłatnego Dostępu do Internetu. Zgodnie z par. 7.2 Regulaminu, każdorazowe nieprzerwane i bezpłatne połączenie z siecią Internet nie przekracza jednorazowo 60 minut licząc od momentu nawiązania takiego połączenia. Planowana zmiana wynika z rosnącego zainteresowania BDI i ma na celu ograniczenie niestandardowych działań, które wykorzystuje część Korzystających i potwierdzenia, że z BDI korzysta człowiek nie maszyna. Wiąże się to z sytuacją w której pewna grupa użytkowników wykorzystuje bardzo intensywnie BDI, co utrudnia korzystanie innym.

Widzimy tutaj potwierdzenie, że chodzi o nadmierny ruch ze strony niektórych użytkowników, ograniczenie atrakcyjności oraz… zwrócenie uwagi na 60-minutowe sesje (punkt 7.2 regulaminu). I niestety widzimy, że Aero2 poważnie myśli o tym rozwiązaniu.

Jak to będzie działało w praktyce?

Odpowiedź prosta brzmi oczywiście – nie wiadomo, póki operator tego w praktyce nie uruchomi. Jednak osoby, które korzystały już z publicznych hotspotów WiFi (np. stworzonych przez urzędy miast i gmin) na pewno się spotkały z działaniem podobnego rozwiązania. Prawdopodobnie procedura może wyglądać następująco:

1. Nawiązujemy połączenie za pomocą modemu lub routera 3G.
2. Uruchamiamy przeglądarkę internetową.
3. Wpisujemy dowolny adres internetowy i zamiast niego pojawia się nam tzw. captivate portal, czyli powitalna strona przechwytująca Aero2, na której pojawia się kod CAPTCHA. Żadne inne usługi internetowe na razie nie działają (są zablokowane).
4. Przepisujemy kod i po jego akceptacji dostęp do Internetu zostaje odblokowany, a my jesteśmy przenoszeni na stronę, której adres wpisaliśmy na starcie.
5. Korzystamy z Internetu.
6. Po 60 minutach połączenie zostaje zerwane (tak jak to było dotychczas) i wracamy do punktu 1.

Można sobie wyobrazić jeszcze różne modyfikacje tego rozwiązania:

• Połączenie komórkowe nie jest zrywane po 60 minutach, a jedynie ponownie pojawia się blokada dostępu do Internetu, captivate portal i kod CAPTCHA. To byłoby o tyle interesujące, że nie zmieniałby się nam adres IP. To rozwiązanie jest jednak mało prawdopodobne.
• Kody CAPTCHA pojawiają się tylko dla użytkowników, którzy przekroczą pewien próg ruchu (wątpię w taką dobrą wolę operatora, poza tym pojawią się pytania co do sposobu doboru progu i dzielenia użytkowników na lepszych/gorszych).
• Lekka złośliwość operatora: Konieczne jest ręczne wejście na wskazaną stronę z kodem (nie będzie funkcji captivate portal, po prostu ruch będzie zamierał).
• Najmniej prawdopodobna wersja: kod pojawi się dopiero po wykorzystaniu jednej pełnej godziny.

Od razu pojawia się pytanie od użytkowników routerów: co z urządzeniami, których kilka będzie podłączonych do bramki sieciowej? Sprawa wydaje się prosta – pierwsza osoba, która nawiąże jakieś połączenie przeglądarką internetową będzie musiała wprowadzić kapcia i od tej chwili wszystkie osoby będą mogły korzystać przez 60 minut.

Kolejna kwestia dotycząca użytkowników telefonów komórkowych: bez wejścia na stronę z kapciem za pomocą przeglądarki internetowej nie będzie można korzystać z Internetu, a prawdopodobne jest, że strona internetowa z kodem będzie za ciężka i skomplikowana dla niektórych starszych telefonów. Jednak po wprowadzeniu poprawnego kodu wszystko będzie działało bez problemu.

A co z osobami z upośledzonym narządem wzroku? reCAPTCHA i podobne rozwiązania mają funkcję głosową, jednak nawet przy mojej niezłej znajomości języka angielskiego nigdy mi się tego kodu nie udało rozpoznać ze słuchu. Ale to może być ciekawa kwestia dla UKE.

A jeżeli ktoś nie korzysta z interfejsu graficznego, tylko pracuje np. w Linuksie w trybie tekstowym i szczytem jego potrzeb jest przeglądarka tekstowa Links lub Lynx? W tym wypadku niestety nie mam dobrych wiadomości, nie będzie się dało skorzystać z Aero2, jednak (taka może być linia obrony operatora) usługa ta oryginalne została stworzona z myślą o osobach wykluczonych cyfrowo, a kogoś, kto potrafi korzystać z Linuksa w trybie tekstowym taką osobą nazwać nie można.

A co z systemami automatycznymi, które zapewniają dostęp do kamer, systemów nadzoru i tego typu zabawek? Między innymi takie rzeczy chce odłączyć Aero2 za pomocą kodów CAPTCHA. Przy okazji, bo głównym celem są osoby ściągające duże ilości danych np. za pomocą protokołów p2p – do tej porty odbywać się to mogło bez nadzoru, teraz co godzinę trzeba będzie wpisywać kod. Podobny problem będą mieli użytkownicy np. odbiorników radia internetowego – bez użycia komputera nie będzie to działało poprawnie (takie urządzenia zwykle nie będą mogły wyświetlić kodu bo nie są wyposażone w przeglądarkę internetową i odpowiedni wyświetlacz).

Wnioski

Aero2 koniecznie chce ograniczyć zainteresowanie usługą bezpłatną i generowany przez nią ruch w swojej sieci. Kod CAPTCHA wydaje się nie naruszać wprost warunków świadczenia usługi zapisanych w koncesji, dlatego właśnie operator zdecyduje się na tego typu rozwiązanie. Na razie jednak nie wiemy kiedy i jak zostanie to wdrożone w życie. Mimo to można i należy tę kwestię analizować od strony technicznej, żeby wiedzieć jak to działa, oraz od strony prawnej, czy w ogóle wolno to operatorowi wprowadzić w życie.

***

Słowniczek slangu związanego z CAPTCHA:

kapeć – kod CAPTCHA
wprowadzić/wpisać kapcia – rozpoznać i wpisać kod CAPTCHA w celu skorzystania z danej usługi
założyć kapcia (na stronę internetową) – zabezpieczyć stronę internetową przez wymuszenie wprowadzania kodów CAPTCHA

1. Aero2 i CAPTCHA – jednak interwencja UKE
2. Aero2 i CAPTCHA – były trudniejsze kody
3. Aero2 i CAPTCHA – znowu nieczytelne kody
4. Aero2 i CAPTCHA – trudne kody to efekt ataku?
5. Aero2 – wpisywanie kodu captcha co godzinę?